Introducción Considerando lo dispuesto en el numeral k) del artículo 17 de la Ley 1581 de 2012, se adopta el presente Manual Interno de Políticas y Procedimientos para la Protección de Datos Personales con el fin de garantizar el adecuado cumplimiento de lo estipulado en la legislación actual. El derecho fundamental al habeas data tiene por objeto garantizar a los ciudadanos el poder de decisión y control que tienen sobre la información que les concierne, concretamente sobre el uso y destino que se les dan a sus datos personales. El derecho a la protección de datos personales concede al titular opciones para mantener el control sobre su información personal. Estas opciones van desde el derecho a saber quién conserva los datos personales, los usos a los que se están sometiendo los mismos, hasta la definición de quién tiene la posibilidad de consultarlos. La ley les atribuye incluso el poder de oponerse a esa posesión y utilización. El objeto del presente manual consiste en adoptar las garantías e instrumentos teniendo en cuenta nuestra condición de Responsables del Tratamiento de datos personales, así mismo permite instrumentar cambios organizativos importantes para sentar los procedimientos de recolección y tratamiento de datos personales a las disposiciones de la Ley. Generalidades Ámbito de aplicación El presente documento aplica para los datos recopilados por ARTURO LIZARAZO & CIA S.A.S. para el cumplimiento del ejercicio de la actividad y el desarrollo de su objeto social. Objeto En cumplimiento de lo previsto en el literal k) del artículo 17 de la Ley 1581 de 2012, que regula los deberes que asisten a los responsables del tratamiento de datos personales, dentro de los cuales se encuentra el de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos. Así mismo tiene la finalidad de regular los procedimientos de recolección, manejo y tratamiento de los datos de carácter personal que realiza ARTURO LIZARAZO & CIA S.A.S., a fin de garantizar y proteger el derecho fundamental de Habeas Data en el marco de lo establecido en la misma ley. ARTURO LIZARAZO & CIA S.A.S. está comprometida en realizar un adecuado tratamiento y manejo de los datos suministrados por las diferentes fuentes, procurando su confidencialidad, transparencia, integridad y la seguridad de la información. Nuestra política de privacidad incluye normas y procedimientos relacionados con el uso y la divulgación de información e incorpora cualquier operación o conjunto de operaciones sobre recolección, almacenamiento, uso, circulación o supresión de datos personales de los clientes. Legislación Aplicable Este manual ha sido elaborado teniendo en cuenta las disposiciones contenidas en los artículos 15 y 20 de la Constitución Política, la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la Protección de datos Personales” y el Decreto 1377 de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”. Bases de Datos Políticas y procedimientos contenidos en el presente manual aplican a las bases de datos que maneja la compañía, las que serán registradas de conformidad con lo dispuesto en la Ley y en el Decreto por el cual se reglamentara el artículo 25 de la Ley 1581 de 2012. Definiciones Las definiciones que se emplean en el presente manual, son elementos indispensables para la protección del habeas data, permiten una correcta y apropiada interpretación del presente manual y de las disposiciones contenidas en la Ley 1581 de 2012 y contribuyen a determinar las responsabilidades de los involucrados en el tratamiento de datos personales. Para efectos de la aplicación de las reglas contenidas en el presente manual y de acuerdo con lo establecido en el artículo 3 de la Ley 1581 de 2012 se entiende por: • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. • Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el Responsable, que se pone a disposición del Titular para el tratamiento de sus datos personales. En el Aviso de Privacidad se comunica al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales. • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables; • Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. • Datos sensibles: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como los que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos. • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. • Titular: Persona natural cuyos datos personales sean objeto de Tratamiento. • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos. Principios ARTURO LIZARAZO & CIA S.A.S. guiará todas sus actuaciones relacionadas con el acopio, uso y Tratamiento de Datos personales que realice, teniendo en cuenta los siguientes principios: • • Principio de Finalidad: El Tratamiento de los datos personales recogidos por ARTURO LIZARAZO & CIA S.A.S. deben obedecer a una finalidad legítima de la cual debe ser informada al Titular. • Principio de libertad: El Tratamiento sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. • Principio de Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. • Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener de ARTURO LIZARAZO & CIA S.A.S. en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. • Principio de Acceso y Circulación Restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados. • Principio de seguridad: La información sujeta a Tratamiento por parte de ARTURO LIZARAZO & CIA S.A.S., se deberá proteger mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias para otorgar Seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. • Principio de Confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento. Autorización La recolección, almacenamiento, uso, circulación o supresión de datos personales por parte de ARTURO LIZARAZO & CIA S.A.S. requiere del consentimiento libre, previo, expreso e informado del titular de los mismos. ARTURO LIZARAZO & CIA S.A.S., en su condición de responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización. La autorización puede constar en un documento físico, electrónico, en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo mediante el cual se pueda concluir de manera inequívoca, que, de no haberse surtido una conducta del titular, los datos nunca hubieren sido capturados y almacenados en la base de datos. La autorización será emitida por ARTURO LIZARAZO & CIA S.A.S., y será puesta a disposición del titular previo al tratamiento de sus datos personales. Con el procedimiento de autorización consentida se garantiza que se ha puesto en conocimiento del titular de los datos personales, tanto el hecho que su información personal será recogida y utilizada para fines determinados y conocidos, como que tiene la opción de conocer cualquier alteración a los mismos y el uso específico que de ellos se ha dado. Lo anterior con el fin de que el titular tome decisiones informadas con relación a sus datos personales y controle el uso de su información personal. La autorización es una declaración que informa al titular de los datos personales: • Quién recopila (Responsable o Encargado) • Qué recopila (datos que se recaban) • Para qué recoge los datos (las finalidades del Tratamiento) • Cómo ejercer derechos de acceso, corrección, actualización o supresión de los datos personales suministrados • Si se recopilan datos sensibles La autorización de manejo de datos debe solicitarse al momento de la generación del vínculo comercial o laboral. Los Formatos de autorización para que el titular permita que ARTURO LIZARAZO & CIA S.A.S. maneje sus datos personales se adjuntan como Anexo 2, (Clientes, Proveedores, Contratistas) Anexo 3 (Empleados, incluido al contrato laboral). ARTURO LIZARAZO & CIA S.A.S. adoptará las medidas necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de cuándo y cómo obtuvo autorización por parte de los titulares de datos personales para el tratamiento de los mismos. Todos los ajustes realizados al contenido de la Autorización deberán siempre contar con revisión previa del área jurídica. Aviso de Privacidad El Aviso de Privacidad es el documento físico, electrónico o en cualquier otro formato, que es puesto a disposición del Titular para el tratamiento de sus datos personales. A través de este documento se informa al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales. La Ley de Colombia No. 1581 de 2012, conocida como Ley de Protección de Datos Personales, incluye disposiciones generales de obligatorio cumplimiento por tal razón, mediante un aviso de privacidad publicado en el pie de página del sitio web: www.arturolizarazoycia.com, se informa que la compañía no comparte información personal con terceros, salvo en lo que atañe al correcto desarrollo de los contratos celebrados con ellos, así como para las finalidades que autoricen y para los casos permitidos por ley. Así mismo, la compañía divulga y da a conocer en sus clientes nuestras políticas para la Protección de Datos Personales, al momento en que la relación comercial es establecida y la misma se mantiene en la página web de la compañía para libre consulta. De igual manera, se les informa a los clientes al momento de establecer la relación la ubicación de las políticas y procedimientos de tratamiento de datos personales. El formato de aviso de privacidad se adjunta como Anexo 1. El Aviso de Privacidad, como mínimo, deberá contener la siguiente información: • La identidad, domicilio y datos de contacto del Responsable del Tratamiento. • El tipo de Tratamiento al cual serán sometidos los datos y la finalidad del mismo, y • Los mecanismos generales dispuestos por el Responsable para que el Titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella. En todos los casos, debe informar al titular cómo acceder o consultar la política de tratamiento de información. Derechos y Deberes Derechos de los titulares de la información De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012 el titular de los datos personales tiene los siguientes derechos: • Conocer, actualizar y rectificar sus datos personales frente a ARTURO LIZARAZO & CIA S.A.S., en su condición de responsable del tratamiento. • Solicitar prueba de la autorización otorgada a ARTURO LIZARAZO & CIA S.A.S., en su condición de Responsable del Tratamiento. • Ser informado por ARTURO LIZARAZO & CIA S.A.S., previa solicitud, respecto del uso que les ha dado a sus datos personales. • Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento. • Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. • Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento. Deberes en relación con el tratamiento de datos personales En calidad de Responsable del Tratamiento de los datos personales, ARTURO LIZARAZO & CIA S.A.S. acepta y reconoce que estos pertenecen única y exclusivamente a sus titulares y que sólo ellos pueden disponer sobre los mismos, razón por la que la compañía sólo hará uso de los mismos respetando la legislación vigente existente, comprometiéndose a cumplir con los siguientes deberes: • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. • Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. • Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en el artículo 14 de la Ley 1581 de 2012. • Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad o detalles del dato personal. • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. • Informar a través de su página web los nuevos mecanismos que implemente para que los titulares de la información hagan efectivos sus derechos. Procedimiento de acceso, consulta y reclamación Limitación de acceso interno El contenido de los archivos que contengan información de, clientes, funcionarios, proveedores o intermediarios otorgada por ARTURO LIZARAZO & CIA S.A.S. no pueden ser discutidos o comentados con compañeros de trabajo o familiares o personas que no requieran esa información o no tengan derecho a conocerla. Control de la reproducción y destrucción de documentos Los archivos que contengan datos personales de solicitantes, deudores solidarios, agencias arrendadoras afiliadas, empleados, proveedores o intermediarios que sean objeto de reproducción o impresión, deberán retirarse del lugar de origen de manera inmediata evitando que otras personas puedan tener acceso a ellos. Los mismos archivos en caso de tener que ser desechados, serán destruidos manual o mecánicamente de forma tal que se evite el acceso a la información. Política de escritorio limpio Los documentos con información personal del cliente, empleados, proveedores o intermediarios solamente se colocan en los escritorios mientras el empleado está trabajando en ellos; cuando el empleado termine con ellos, o se levante, o se va al final del día, debe guardar los documentos en gabinete bajo llave. Cuando otra persona se acerca a hablar con el empleado, se debe dar vuelta la hoja o cerrar el expediente. Política de bloqueo de pantalla Cuando el empleado que maneje datos personales de clientes se levante de su escritorio, alguien se acerque a su escritorio, o se retire al final del día, debe dar TECLA DE WINDOWS + L y seleccionar bloquear pantalla o apagar el computador. En todo caso, transcurridos cinco (5) minutos sin actividad en el computador, se ha programado su bloqueo automático. Declaración de privacidad al pie de los correos electrónicos Los correos electrónicos de los empleados de ARTURO LIZARAZO & CIA S.A.S., deben incluir una nota que aparezca automáticamente que indique que cualquier información contenida en el mismo tiene carácter privilegiado y confidencial. (Si bien este tipo de información no tiene en todos los casos protección legal, se incluye a modo preventivo). Protección de información confidencial en Recepción Cuando se recibe información confidencial en la Recepción de la compañía, se debe depositar en un sobre opaco o adjuntarle una portada, para que mientras se espera a su reparto al área encargada, tal información no pueda ser vista por personas que se acercan a Recepción. Expediente de información sensible El sistema presenta niveles de seguridad que permiten el acceso a esta información solo al personal autorizado mediante la validación de perfiles de uso y sistema. Las políticas de seguridad relativas a la extracción de información (USB, puertos de salida, correos electrónicos), seguridad informática, dispositivos móviles (Tablet, portátiles, celulares, en donde se facilita la extracción de datos) están contempladas por ARTURO LIZARAZO & CIA S.A.S. Limitación de acceso a terceros Los procesos eventualmente tercerizados con quienes ARTURO LIZARAZO & CIA S.A.S. tenga vínculo comercial deberán suscribir un acuerdo de confidencialidad del manejo de las bases de datos de los clientes de la compañía. Revelación de información Está prohibida la revelación de datos personales para objetivos de mercadeo, excepto cuando se trata de mercadeo directo con el cliente o cuando el Proceso Comercial de la Compañía organice una promoción para ellos. Los datos personales no pueden ser suministrados al área comercial, salvo que el cliente lo autorice. Así mismo, cuando alguna autoridad administrativa o judicial solicite la revelación de datos personales clientes, empleados o proveedores, el área legal deberá hacer la revisión, previo a su revelación. Procedimiento de acceso, consulta y reclamación: Derecho de Acceso El poder de disposición o decisión que tiene el titular sobre la información que le concierne, conlleva necesariamente el derecho de acceder y conocer si su información personal está siendo objeto de tratamiento, así como el alcance, condiciones y generalidades de dicho tratamiento. De esta manera, ARTURO LIZARAZO & CIA S.A.S. garantizará al titular su derecho de acceso en diferentes vías: • Acceso a los datos personales que de ese titular posea ARTURO LIZARAZO & CIA S.A.S. • Información sobre el tratamiento a que son sometidos los datos personales del titular. • Finalidades que justifican el tratamiento de los datos personales del titular. ARTURO LIZARAZO & CIA S.A.S. garantizará el derecho de acceso cuando, previa acreditación de la identidad del titular o personalidad de su representante, se ponga a disposición de éste, de manera gratuita, al detalle de los datos personales a través de medios electrónicos u otros considerados pertinentes. Consultas De conformidad con lo establecido en el artículo 14 de la Ley 1581 de 2012 los titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos. En consecuencia, ARTURO LIZARAZO & CIA S.A.S. garantizará el derecho de consulta, suministrando a los titulares, toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. Para la atención de solicitudes de consulta de datos personales ARTURO LIZARAZO & CIA S.A.S. garantiza: • Habilitar medios de comunicación electrónica u otros que considere pertinentes. • Establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad. • Utilizar los servicios de atención al cliente o de reclamaciones que tiene en operación. Reclamación ARTURO LIZARAZO & CIA S.A.S. contará con cinco (5) días hábiles a partir del recibo de la solicitud para realizar la actualización de datos. Si la misma requiere soportes para su cambio, por ejemplo porque se trata de información pública o contenida en documentos administrados por entidades públicas (Registraduría Nacional del Estado Civil, Registro Civil, Certificado de existencia y representación de la Cámara de Comercio, por ejemplo), el solicitante deberá radicar el documento correspondiente adjuntando: i) la identificación proveedor, empleado o cliente, ii) describiendo los hechos que dan lugar al reclamo, iii) indicando su dirección, iv) entregando la documentación que quiera presentar para este trámite. Si a juicio de ARTURO LIZARAZO & CIA S.A.S. la solicitud resulta incompleta, requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha de este requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de este trámite. Si ARTURO LIZARAZO & CIA S.A.S. no fuere competente para resolver la solicitud, dará traslado a quien corresponda, si lo conociere, en un término máximo de dos (2) días hábiles, informando la situación. Si no conociere quién es el competente, en el mismo término dará respuesta al solicitante. Recibido la solicitud completa, se incluirá, en un término máximo de dos (2) días hábiles, en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo. Se debe mantener esa leyenda hasta que el reclamo sea decidido. El término máximo para atender esta solicitud será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo completo. Cuando no fuere posible atenderla en ese plazo, se informará al solicitante el motivo y la fecha en la que se atenderá, la que en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. En cualquier momento y de manera gratuita el titular o su representante podrán solicitar a ARTURO LIZARAZO & CIA S.A.S. la rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad. Los derechos de rectificación, actualización o supresión únicamente se podrán ejercer por: • El titular o sus causahabientes, previa acreditación de su identidad, o a través de instrumentos electrónicos que le permitan identificarse. • Su representante, previa acreditación de la representación. Cuando la solicitud sea formulada por persona distinta del titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada. La solicitud de rectificación, actualización o supresión debe ser presentada a través de los medios habilitados por ARTURO LIZARAZO & CIA S.A.S. señalados en el aviso de privacidad y contener, como mínimo, la siguiente información: • El nombre y domicilio del titular o cualquier otro medio para recibir la respuesta. • Los documentos que acrediten la identidad o la personalidad de su representante. • La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos. • En caso dado otros elementos o documentos que faciliten la localización de los datos personales. Rectificación y actualización de datos ARTURO LIZARAZO & CIA S.A.S. tiene la obligación de rectificar y actualizar a solicitud del titular la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señalados. Al respecto se tendrá en cuenta lo siguiente: • En las solicitudes de rectificación y actualización de datos personales el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición. ARTURO LIZARAZO & CIA S.A.S. tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando éstos beneficien al titular. En consecuencia, se podrán habilitar medios electrónicos u otros que considere pertinentes. ARTURO LIZARAZO & CIA S.A.S. podrá establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad y que se pondrán a disposición de los interesados en la página web. Para éstos efectos, ARTURO LIZARAZO & CIA S.A.S. podrá utilizar los mismos servicios de atención o servicio al cliente que tiene en operación, siempre y cuando los plazos de respuesta no sean mayores a los señalados por el artículo 15 de la Ley 1581 de 2012. Cada vez que ARTURO LIZARAZO & CIA S.A.S. ponga a disposición una herramienta nueva para facilitar el ejercicio de sus derechos por parte de los titulares de información o modifique las existentes, lo informará a través de su página web. Supresión de datos El titular tiene el derecho, en todo momento, a solicitar a ARTURO LIZARAZO & CIA S.A.S. la supresión (eliminación) de sus datos personales cuando: • Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012. • Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados. haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados. Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por ARTURO LIZARAZO & CIA S.A.S. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio del mismo cuando: • El titular tenga un deber Legal o contractual de permanecer en la base de datos. • La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas. • Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular. En caso de resultar procedente la cancelación de los datos personales, ARTURO LIZARAZO & CIA S.A.S. debe realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información. Mecanismos Las personas tienen derecho a conocer sus datos personales. Para ello, pueden: 1. Inspeccionarlos en forma gratuita en la oficina de la compañía ubicada en la ciudad de Bogotá (previa validación de la identificación del titular y previa notificación a la administración para permitir su ingreso a las instalaciones). 2. Consultar vía telefónica o por escrito tanto el contenido de sus datos personales como evidencia de la autorización dada para su tratamiento, así como ser informado del uso que ARTURO LIZARAZO & CIA S.A.S. les ha dado a sus datos personales. Consulta telefónica Se dará trámite a la solicitud de conocimiento de los datos cuando ella se reciba vía telefónica siempre que se valide la identificación de quien la solicita de acuerdo con el siguiente procedimiento de validación. Se debe verificar que la persona que está llamando es el cliente, proveedor, empleado o intermediario, a través de la formulación de preguntas de validación, como podrían ser la fecha exacta del nacimiento o la fecha de expedición del documento de identidad. Debe quedar constancia escrita de haberse adelantado este procedimiento. Consulta presentada por escrito Se dará trámite a la solicitud por escrito siempre que la misma sea recibida: a. Directamente en oficinas de ARTURO LIZARAZO & CIA S.A.S. b. Enviada desde la dirección de correo electrónico registrada por la cliente dirigida a el siguiente correo electrónico administrativo@arturolizarazoycia.com Recibida la solicitud, ARTURO LIZARAZO & CIA S.A.S. contará con tres (10) días hábiles contados desde la fecha de la petición para darle respuesta. De no ser posible, se deberá informar al solicitante las razones y se indicará que en un término máximo de cinco (5) días hábiles contados desde la fecha de vencimiento del primer término, se atenderá la consulta. La copia de la autorización para el tratamiento de datos personales se entregará, excepto en aquellos casos en los que la ley exceptúe contar con dicha autorización como requisito para el tratamiento de los datos personales. No se requiere de autorización cuando los datos están incorporados en el registro civil de las personas, en el certificado de existencia y representación legal de la entidad, sean datos públicos, datos requeridos por autoridad o entidad pública o administrativa en el ejercicio de sus funciones o por orden judicial, en casos de urgencia médica manifiesta o sanitaria o cuando los datos vayan a ser utilizados para fines estadísticos, históricos o científicos conforme la autorización legal para esos efectos. La entrega de documentación o certificaciones se realizará solo al titular o a terceros que presenten autorización escrita del mismo acompañada de fotocopia del documento de identidad del Titilar. Revocatoria de la Autorización Los titulares de los datos pueden revocar la autorización o solicitar la supresión del dato, siempre que no esté vigente la relación comercial con ARTURO LIZARAZO & CIA S.A.S., o derechos u obligaciones entre la persona y la compañía y en todo caso, la revocación o solicitud de supresión procederá siempre que no se respeten los principios, derechos y garantías constitucionales y legales. Para ello, será la Superintendencia de Industria y Comercio de Colombia quien determine que ARTURO LIZARAZO & CIA S.A.S. ha incurrido en conductas que generen la revocación o supresión del dato. Sólo se procederá a la revocación o supresión del dato, si fuere en ese sentido la decisión de la Superintendencia de Industria y Comercio. Así mismo, las personas pueden presentar ante la Superintendencia de Industria y Comercio de Colombia quejas por infracciones a lo dispuesto en este documento o en la Ley 1581 de 2012 y demás normas que la modifiquen, adicionen o complementen. Personas que pueden solicitar cambios, actualización o supresión de información personal Para el ejercicio de los derechos sobre los datos personales, la solicitud puede ser presentada por las siguientes personas: • El cliente, proveedor o empleado (cada uno de ellos, actuando en su nombre). • Un apoderado especial autorizado para ello. En este caso, el poder debe contar con nota de presentación personal del tomador, asegurado, proveedor, empleado o intermediario. • ARTURO LIZARAZO & CIA S.A.S. debe contar con un archivo de las autorizaciones firmadas por proveedor, empleado o cliente y revisarlo previo a revelar información personal a terceras personas. • Cuando el cliente ha fallecido debe solicitarse registro civil de defunción para la entrega de información la cual solo podrá ser suministrada a quien demuestre tener la condición de causahabiente del mismo. • Si se trata de una notificación recibida de autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal, ARTURO LIZARAZO & CIA S.A.S. insertará en la base de datos la leyenda “información en discusión judicial”. ARTURO LIZARAZO & CIA S.A.S. se abstendrá de circular información que esté siendo controvertida por el cliente, cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio de Colombia. Procedimiento ante un potencial evento de fuga de información de datos personales Para efectos de este documento se entenderá como un potencial evento de fuga de información como cualquier incidente de adquisición, uso o revelación de información personal de clientes, no autorizada y que comprometa la seguridad, integridad y confidencialidad de esa información, creando un riesgo para el cliente. Por ejemplo: • Un empleado que accede a la información de un cliente por fuera del ejercicio de sus funciones laborales. • La pérdida o hurto de un computador que contenga información personal no encriptada. • Información personal de clientes enviada por error a un fax o dirección de correo. • Cualquier potencial evento de fuga de información deberá ser reportado a Gerencia General o al Jefe inmediato en todo caso en un máximo de dos días hábiles contados desde la fecha del descubrimiento de los hechos. Si la fuga involucra una situación de pérdida o hurto de un computador, deberá igualmente ser reportada a la Gerencia General de la compañía o quien lo represente. A juicio de la Gerencia General, si la posible fuga de información constituye una violación a los códigos de seguridad, deberá informarlo a la Superintendencia de Industria y Comercio de Colombia. Conservación de datos digitales La documentación correspondiente al cliente que se encuentre digitalizada (escaneada) y cargada en sistema tendrá un tiempo de conservación de 10 años después de finalizada la relación contractual. Posteriormente se procederá a su eliminación. Devolución de Documentos Los documentos que el cliente entregue con la finalidad de ser tratados dentro del desarrollo de la actividad afianzadora no serán sujeto de devolución. Capacitación del personal ARTURO LIZARAZO & CIA S.A.S. capacitará a su personal por lo menos una vez cada año, respecto del contenido de este documento en para de garantizar la seguridad, confidencialidad, veracidad e integridad de los datos personales de sus clientes. Cada capacitación contará con un listado de los asistentes, así como del contenido programático de las mismas. Si Usted tiene alguna pregunta o inquietud relacionada con los procedimientos para la protección de datos personales de ARTURO LIZARAZO & CIA S.A.S., puede contactarnos a: administrativo@arturolizarazoycia.com Carrera 71 F # 116 A- 46, Bogotá D.C. – 111121, Colombia PBX: (571)2263368 La revisión más reciente de esta declaración de privacidad se llevó a cabo el 7 de octubre de 2016. Nos reservamos el derecho de cambiar esta declaración en cualquier momento con el fin de cumplir con las leyes aplicables o para reflejar la actualización de nuestra práctica empresarial. Cualquier cambio en esta declaración será efectivo a partir del día en que sea publicado en nuestra página web.